近日获悉,Mozilla发布了首个集成了Content Security Policy(内容安全政策)机制的FireFox 3.7预览版本供开发者以及安全专家进行测试,这也是Mozilla首次尝试将CSP直接嵌入到浏览器中。
官方下载:
Windows:1254264686-win32.zip
Mac OS X:1254264686-macosx.dmg
Linux:1254264686-linux.tar.bz2
Content Security Policy是Mozilla为了提高浏览器安全性开发的一套新的安全机制,该机制让网站可以定义内容安全政策,明确告知浏览器哪些内容是合法的,让浏览 器得以避开恶意内容。CSP主要锁定解决XSS及跨站冒名请求(Cross Site Request Forgery)等网络应用程序漏洞,要落实Mozilla的内容安全政策,网站及浏览器都必须支持CSP架构。
图为:Content Security Policy(内容安全政策)机制演示
Mozilla还建立了一个测试演示页面用以解释如何确定代码能够被有效的拒绝,其他浏览器也可以通过分析该页面的结果来符合这一新的机制。笔者刚才使用Google Chrome在此页面上进行测试,发现只有一项测试通过,而集成CSP的FireFox 3.7预览版可以通过全部测试。
需要注意的是,目前CSP并没有集成到FireFox的daily builds中,也并没有正式作为FireFox 3.7的官方组件,所以目前用户如果想在FireFox 3.7预览版中测试该功能,只能通过下载这个特别的预览版本进行测试。